Académique Documents
Professionnel Documents
Culture Documents
Id 4300 PDF
Id 4300 PDF
1 Généralités
Ce cours ainsi que les Tp qui suivront vont vous permettre de manipuler les ACL des routeurs
Cisco. Les ACL (en anglais « Acces Control Lists ») ou en Français « Listes de Contrôle d’Accès »,
vous permettent d’établir des règles de filtrage sur les routeurs, pour régler le trafic des
datagrammes en transit.
Les ACL permettent de mettre en place un filtrage dit « statique » des datagrammes, c'est-à-
dire d’instaurer un certain nombre de règles à appliquer sur les champs concernés des en-têtes
des divers protocoles.
2.1 Généralités
Quelque soit le type d’ACL dont il s’agit ; leur utilisation se fait toujours selon les mêmes
principes généraux :
• Première étape : En mode « config », on crée une ACL, c'est-à-dire une liste de règles.
Chaque règle est du type (condition, action). Les règles sont interprétées
séquentiellement. Si la condition analysée ne correspond pas, on passe à la règle suivante.
Si la condition correspond, l’action correspondante est effectuée, et le parcours de l’ACL
est interrompu. Par défaut, toutes les ACL considèrent la règle (VRAI, REJET) si aucune
des règles précédentes n’a été prise en compte, c'est-à-dire que tout datagramme non
explicitement accepté par une règle préalable sera rejeté.
• Deuxième étape : En mode « config-int », on applique une ACL en entrée (in)
(respectivement en sortie(out)), c'est-à-dire que l’on décide d’activer la liste de règles
correspondante à tous les datagrammes « entrant » dans le routeur (respectivement
« sortant » du routeur) par l’interface considérée. En conséquence, sur un routeur, il peut
y avoir au maximum 2 ACLs (IP) par interface.
1/10
TP CISCO ACL SEN
Lorsque l’on construit une ACL, les règles sont ajoutées à la fin de la liste dans l’ordre dans lequel
on les saisit. On ne peut pas insérer de règle dans une ACL, ni même en supprimer … le seul moyen
reste d’effacer complètement l’ACL et de recommencer ! En situation réelle, pour saisir une ACL
assez longue, il peut être judicieux de créer un fichier texte et de le faire prendre en compte
par la suite comme un fichier de capture de configuration de routeur …
Le numéro de liste (#ACL) doit être compris entre 1 et 99 pour une ACL standard (tapez un ?
après la commande « access-list » pour visualiser toutes les fourchettes possibles en fonctions
des types d’ACL).
« Permit ou deny » indique l’action à prendre (deux seules actions sont possibles : autorisé ou
refusé)
L’IP source + masque indique la condition.
2/10
TP CISCO ACL SEN
Le numéro de liste (#ACL) doit être compris entre 100 et 199 pour une ACL étendue.
« Permit ou deny » indique l’action à prendre (deux seules actions sont possibles : autorisé ou
refusé)
« protocole » indique le protocole concerné par le filtre (tapez un ? pour avoir la liste des
protocoles disponibles) Les protocoles indiqués peuvent être de différents niveaux jusqu’au
niveau transport (ex : TCP ou UDP, mais également IP ou ICMP). La distinction sur les protocoles
applicatifs (http, FTP …) se fera sur le champ « port ».
IP et masques suivent les mêmes règles que pour les ACL standards,
« port » permet d’indiquer un numéro de port (ou son nom symbolique si il est connu http, FTP,
Telnet, …). Notez qu’un port doit être indiqué précédé d’un opérateur (ex : « eq http » ou « eq
80 » ou « lt 1024 ») avec « eq » (pour « equal »), « lt » (pour « lower than ») ou « gt » (pour
greater than), …
« established » indique qu’il s’agit d’une communication TCP déjà établie (et donc pas d’une
demande de connexion avec le bit « syn » positionné).
3/10
TP CISCO ACL SEN
• Abréviations dans une règle :
0.0.0.0 255.255.255.255 qui signifie « tout équipement » peut être remplacé par le
mot clé « any ».
• W.X.Y.Z 0.0.0.0 qui signifie « l’équipement W.X.Y.Z » peut être remplacé par « host
W.X.Y.Z »
• Par défaut, la règle « deny any » est prise en compte par toutes les ACL. En d’autre
termes, le simple fait de créer une ACL vide et de l’appliquer à une interface interdit le
passage a tout datagramme. Pour changer de politique par défaut d’une ACL, il suffit de
mettre la règle « permit any » (ou « permit ip any any » pour les ACL étendues) en fin de
liste. Cette règle sera prise en compte si aucune des précédentes ne l’est.
• En mode « enabled » la commande « show access-list <#ACL> » vous permet de visualiser
(et donc de capturer le cas échéant …) le contenu de l’ACL dont vous donnez le numéro.
4/10
TP CISCO ACL SEN
2.5 Activation d’une ACL
Pour activer une ACL sur une interface, il faut :
• Se positionner dans le mode de configuration de l’interface, grâce à la commande
« interface <nom de l’interface> »
• Saisir la commande : « ip access-group <#ACL> < in | out> ».
• N’oubliez pas de vous considérer « à l’intérieur du routeur », pour choisir entre le mot clé
« in » et le mot clé « out » …
5/10
TP CISCO ACL SEN
En revanche, les ACL étendues prenant aussi en compte les adresses destination, peuvent être
utilisées au contraire sur les routeurs les plus proches des équipements sources concernés, ceci
afin d’éviter du trafic superflu sur le réseau.
Exercices :
• activité packet tracer sur les ACL standarts
• activité packet tracer planification, configuration et verification des ACL standart,
étendues et nommées.
6/10
TP CISCO ACL SEN
3 MANIPULATIONS
7/10
TP CISCO ACL SEN
Consignes activité Packet tracer planification, configuration et verification des ACL
standart, étendues et nommées.
Objectifs
• Configurer une liste d’accès VTY pour assurer la sécurité de l’accès à distance
• Créer des listes de contrôle d’accès standard, étendues et nommées pour améliorer la
sécurité du réseau
Contexte / Préparation
L’atelier d’entretien du réseau nécessite un accès à un routeur installé récemment à Londres.
Vous devez configurer une liste de contrôle d’accès pour lui autoriser un accès Telnet au routeur
et refuser l’accès à tous les autres. Une liste d’accès supplémentaire doit être créée sur les
routeurs London et DC afin de remplir les conditions requises ci-après.
Autoriser l’accès de tous les clients London au serveur London et bloquer tous les autres
utilisateurs.
Autoriser l’accès de tous les clients au serveur DC et bloquer tous les autres utilisateurs.
Mot de passe actif : admin.
8/10
TP CISCO ACL SEN
a- Créer une liste d’accès sortante numérotée 150 et l’appliquer à l’interface Fast Ethernet 0/1.1
b- Créer une liste d’accès sortant numérotée 160 et l’appliquer à l’interface Fast Ethernet 0/1.2
b-Appliquez la liste d’accès à l’interface série comme une liste d’accès entrant.
c- Enregistrez les configurations.
9/10
TP CISCO ACL SEN
c- Vérifiez la liste d’accès nommée du routeur London .
1- Sélectionnez le PC2 et envoyez une requête ping au PC1.
2- Naviguez du PC2 au Server0 (172.16.100.250).
La commande ping aboutit contrairement à la navigation qui dépasse son délai d’attente.
d- Cliquez sur le bouton Check Results
Remarques générales :
• que signifie le terme « out » en fin de ligne d’un énoncé d’une commande ip access-group ?
• Quelle est la différence entre les commandes d’ajout d’une liste de contrôle d’accès sur
une interface spécifique et le VTY ?
Quelle est la différence entre les commandes d’ajout d’une liste de contrôle d’accès sur une
interface spécifique et le VTY ?
10/10